分类: 服务器与存储
2008-07-25 11:19:51
FC、IP网络的安全性
不论是光纤通道还是IP网络,主要的潜在威胁来自 非授权访问,特别是管理接口。例如,一旦获得和存储区域网络(SAN)相连接服务器管理员的权限,欺诈进入就能够得逞。这样入侵者能够访问任何一个和SAN连接的系统。因此,无论使用的是哪一种存储网络,应该认识到应用充分的权限控制、授权访问、签名认证的策略对防止出现安全漏洞是至关重要的。
测错攻击在IP网络中也比在光纤通道的SAN中易于实现。针对这类攻击,一般是采用更为复杂的加密算法。
尽管DoS似乎很少发生,但是这并不意味着不可能。然而假如要在光纤通道SAN上实现DoS攻击,则不是一般的黑客软件所能实现的,因为他往往需要更为专业的安全知识。
实现SAN数据安全方法
确保SAN数据安全的两个基本安全机制是分区制zoning和逻辑单元值(LogicalUnitNumber)掩码。
分区制是一种分区方法。通过该方法,一定的存储资源只对于那些通过授权的用户和部门是可见的。一个分区能够由多个服务器、存储设备、子系统、交换机、HBA和其他电脑组成。只有处于同一个分区的成员才能够互相通讯。
分区制往往在交换级来实现。根据实现方式,能够分为两种模式,一为硬分区,一为软分区。硬分区是指根据交换端口来定制分区策略。任何试图通过未授权端口进行的通讯均是被禁止的。由于硬分区是在系统电路里来实现,并在系统路由表中执行,因此,较之软分区,具备更好的安全性。
在光纤通道网络中,软分区是基于广域命名机制的(WWN)的。WWN是分配给网络中光纤设备的唯一识别码。由于软分区是通过软件来确保在不同的分区中不会出现相同的WWNs,因此,软分区技术比硬分区具备更好的灵活性,特别是在网络配置经常变化的应用中具备很好的可管理性。
有些交换机具备端口绑定功能,从而能够限制网络设备只能和通过预定义的交换端口进行通讯。利用这种技术,能够实现对存储池的访问限制,从而保护SAN免受非授权用户的访问。